ENABLEEnabling Efficient and Operational Mobility in Large

Heterogeneous IP Networks

Projektvorstellung

2Project Overview2/22/2007

Das ENABLE Projekt• Dauer: 2 Jahre• Budget: 3.792 Mio € (406 Mannmonate)

EU-Beihilfe: 2.449 Mio €

• Projekt Partner:Koordinator:

Telecom Italia

Partner:Consulintel (Spanien)Georg-August-Universität GöttingenSiemens AGUniversity of Murcia (Spanien)Industrieanlagen-Betriebsgesellschaft mbH (IABG)Waterford Institute of Technology (Irland)Brunel University (England)Huawei (China)

3Project Overview2/22/2007

Projektziele• Entwicklung von leistungs- und funktionsfähiger Mobilität als Service in

großen IPv6 Netzwerken unter Berücksichtigung des Übergangs IPv4/IPv6

Forschung und Beisteuerung in den diversen Standardisierungsforen (IETF, 3GPP, etc.)Validierung durch Experimente (Prototypen, Tests, etc.)

• ForschungsschwerpunkteVerbesserung von Mobile IPv6 um transparente Mobilität in großen funktionsfähigen Netzen mit mehrfachen administrativen Domains, heterogenen Zugängen und einer schnell wachsenden Anzahl von Benutzern zu ermöglichenVerbesserung der Grundfunktionalität von Mobile IPv6 um „Premium“Dienste (fast handover, QoS, etc.)Analyse von Zielen und von Designgrundregeln für eine langfristige Entwicklung über Mobile IPv6 hinaus

4Project Overview2/22/2007

Ausblick

R R R

IPv4/v6backbone

R R R

Mobile IPv6

Mobile IPv6all-IP network

RR R

RR

R R R

?Mobile IPv6,HIP, others?

RAN RANRAN RAN

Dedicated RANsoptimized for specific services

Today

cellular (2.5-3G)Wireless LANWMAN (WiMAX)

Integration of heterogeneous RANsto offer efficient and cost-effective ubiquitous mobility

MIPv6 is the key

Step 1

Smooth migration to an all-IP network architecture

Step 2

all services over IPMIPv6 with fast handover support

Fully mobile Internet

Step 3

tremendous growth in the number of terminalsMIPv6 might suffer its age

ENABLEZiele

5Project Overview2/22/2007

Forschungsschwerpunkte (I)• Verbesserung der Skalierbarkeit von Mobile IPv6

Dynamische Veränderung von Konfigurationsdaten auf Terminals und HAsLastverteilung zwischen mehreren HAs

• Verbesserung der AusfallsicherheitEntwicklung eine Lösung zur HA-Ausfallsicherung (kein „single point of failure“)

• Steuern von Mobilen DienstenService Authorization basieren auf einer AAA Infrastruktur

• Bereitstellung von „Premium“ NetzwerkdienstenFast Handover, QoS, etc.

• Integration von Mobile IPv6 in reelle NetzwerkeKoexistenz mit Middleboxes (Firewalls, etc.)Einsatz von Mobile IPv6 in ausschließlich IPv4 Netzwerken

6Project Overview2/22/2007

Forschungsschwerpunkte (II)

• Analyse von Protokollen und von Architekturen für langfristige Netzwerkentwicklung

Skalierbarkeit mit einer hohen Anzahl von TerminalsOptimierte Unterstützung für Terminals mit sehr begrenzten Verarbeitungs- und Speicherkapazitäten (z.B. Sensoren)Der Einsatz von Mobile IPv6 ist eventuell nicht ausreichend, daher müssen mögliche langfristige Alternativen oder Weiterentwicklungen sorgfältig ausgewertet werden.

Host Identity Protocol (HIP)

IKEv2 Mobility and Multihoming (MOBIKE)

NETwork based Localized Mobility Management (NETLMM)

…

7Project Overview2/22/2007

ENABLE Referenz Szenario

IPv4Enterprise

PATR

ISPs

MobileOperators

VirtualOperators

Carriers

WLANHotsport

WMAN(IEEE 802.16e)

R R R

Cellular(2.5-3G) IPv4-only

access

NAT

IPv4-onlyaccess

IPv4-onlyaccess

GW

Trains, cars, etc.

Firewall

Services

IPv6Enterprise

R

Services

R

IPv6House

R

On-boardnetwork

AAAMobility

QoS

VPN

MobileNode

R

IPv4House

VPNIPv6

Backbone

SessionControl

8Project Overview2/22/2007

Erwartete Auswirkungen• Das heutige Mobile IPv6 verhindert es, das ENABLE Referenz Szenario

umzusetzen.• ENABLE soll die Probleme in enger Zusammenarbeit mit der IETF

schließen,um sicherzustellen, dass die entwickelten Lösungen in Übereinstimmung mit den architektonischen Grundregeln der Internet-Gemeinschaft sind und vielleicht standardisiert werden.

• Die Forschung in ENABLE erhöht die Fähigkeiten einer zukunftssicheren Mobilitätsinfrastruktur zur Benutzung von der zukünftigen Anwendungen wie pervasive peer-to-peer, audio/video conferencing over IP, emergency services, etc.

• ENABLE trägt auch zur Entwicklung eines langfristigen Ausblicks zum in Zukunft völlig mobilen Internet bei.

9Project Overview2/22/2007

Work Packages

Making Mobile IPv6 environment

friendly

WP1 WP1 -- TITI

WP2 WP2 -- UGOEUGOEReliability and

resource optimization

WP3 WP3 -- IABGIABGEnabling

advanced mobility features

WP4 WP4 -- SiemensSiemensEmerging mobility

approaches

WP5 WP5 -- UMUUMU

Requirementsand scenarios

Technicalsolutions

Operational Mobile IPv6 architecture

Architecturalguidelines

Bootstrappingmechanism

Technical solutionsFeedback

WP0 WP0 -- TITIProject management

WP7 WP7 -- ConsulintelConsulintelDissemination, clustering/liaison and standardization

Impacts

Initialarchitecture

Integration and validationWP6 WP6 -- WITWIT--TSSGTSSG

Coordination

Exploitation of results

SolutionDesign

Tech

. Sol

.

Other IST Projects 3GPPIETFEU/International

related activities IEEE WiMAXForum

10Project Overview2/22/2007

ENABLE System Architektur

MobileNodes (MNs)

R

NAT

R

AR ARAccess

Router/MAP

Firewall

CorrespondentNodes (CNs) Internet or other

IP backbone

R

R

Mobility Service Provider (MSP)

HomeAgents

AAAServersDNS

Other services(QoS, SIP, etc.)

AccessPoints (APs)

R

Other MSPs

R

11Project Overview2/22/2007

Veröffentlichungen

• Resultate und Ergebnisse der Projektarbeit sollen publiziert werden:

Paper, Journale und Publikationen Präsentationen auf unterschiedlichen Events und Konferenzen Testvorführungen und Miteinbeziehung der externen BenutzerKooperation mit anderen vergleichbaren ProjektenStandardisierungstätigkeiten

12Project Overview2/22/2007

ENABLE

• Projekt Webseite:http://www.ist-enable.org

• Projekt-, Bachelor- und Masterarbeiten in ENABLEXiaoming Fu

Firewall traversal for MIPv6: Problem Statement

Mobilkommunikation IIProf. Dr. Dieter HogrefeWS 06/07

14Project Overview2/22/2007

Inhalt

• Firewalls: Funktions- und Arbeitsweise• Mögliche Firewall Platzierungen und daraus resultierende

ProblemeFirewall beschützt MN’s NetzwerkFirewall beschützt HA’s NetzwerkFirewall beschützt CN’s Netzwerk

• Zusammenfassung

15Project Overview2/22/2007

Firewalls: Funktions- und Arbeitsweise

• Firewall entscheiden anhand eines 5-Tupels ob Pakete erlaubt oder verworfen werden:

{ Source IP address, Destination IP address, Protocol type, Sourceport number, Destination port number }

• Die am meisten verbreitete Art von Firewalls ist der Stateful Packet Filters (SPF), welcher das Netzwerk von nicht verlangtem Datenpaketen beschützt.

• SPFs erlauben oder verwerfen Pakete anhand von Informationen aus einer lokalen Zustandstabelle, welche von der Firewall verwaltet wird.

16Project Overview2/22/2007

Mögliche Firewall Platzierungen und daraus resultierende Probleme• Mobile IPv6 definiert MN, HA, CN.• Diese Entitäten können in einem Netzwerk liegen, welches

von einer Firewall beschützt wird. • Daher drei grundlegende Szenarien

Firewall beschützt MN’s Netzwerk,Firewall beschützt HA’s Netzwerk,Firewall beschützt CN’s Netzwerk.

• Diese Platzierungen bringen mehrere Problem mit sich:

17Project Overview2/22/2007

HA

ASA/MSA/MSP

FW

ASP

ASP-AAA

MASA-AAA

Corporatenetwork or

mobile operator

Roamingagreement

(SLA)

1 2

3

Corporatenetwork

MN

Firewall beschützt MN’s Netzwerk (I)

• Problem 1Viele Firewalls verwerfen IPsec Pakete da sie aufgrund der Verschlüsselung nicht feststellen können, ob diese angefordert oder berechtigt sind.Bindung Updates und Binding Acknowledgements können daher verworfen werden.

• Problem 2MN und CN wollen Route Optimization benutzen.Home Test Nachricht des RRT muss mit IPsec verschlüsselt sein.Die Firewall verwirft die Home Test Nachricht und verhindern somit die RRT Prozedur.

18Project Overview2/22/2007

Firewall beschützt MN’s Netzwerk (II)• Problem 3

Annahme: MN hat das Binding Update erfolgreich zum HA geschickt.Anschließender Datenverkehr wird vom HA gesendet.Da für diese Art von Verkehr keine States in der Firewall existieren, werden die Pakete verworfen.

• Problem 4Firewalls können CN‘s an der Kommunikation hindern,

weil ankommende Pakete aufgrund nicht existierende States in der Firewall verworfen werden.

• Problem 5Wenn der MN in ein anderes Netzwerk roamt und dieses durch eine Firewall beschützt wird, werden alle neu ankommenden Pakete verworfen, da für diese keine States existieren.

19Project Overview2/22/2007

HA

ASA/MSA/MSP

ASP

MASA-AAA

FW

1b2

MN

1a

Firewall beschützt HA’s Netzwerk

• Problem 1Firewall beschützt den Home Agent und verwirft IPsec Pakete.IPsec verschlüsselte MIPv6 Signalisierungsnachrichten (Binding Update, HoT) werden von der Firewall verworfen.Dies hindert den MN daran Bindung Updates zu senden und Route Optimization zu benutzen.

• Problem 2Firewall verwirft Verbindungsaufbauanfragenvom CN und MN, da für diese keine Statesexistieren.

20Project Overview2/22/2007 ASP of MN ASP of CN

MNCN

FW

HA

MASA-AAA

ASA/MSA/MSP

1b

3b

2a/b

1a

ASP-AAA

Firewall beschützt CN’s Netzwerk (I)

• Problem 1Care of Test Init Nachricht wird mit der CoA des MN’s als Herkunftsadresse gesendet. Dieses Paket entspricht keinem Eintrag in der Firewall und die CoTI Nachricht wird verworfen.Daher kann die RRT Prozedur nicht beendet werden und Route Optimisation ist nicht einsetzbar.

21Project Overview2/22/2007

Firewall beschützt CN’s Netzwerk (II)

• Problem 2Annahme: Bindung Update zum CN war erfolgreich.Die Firewall wird weiterhin Pakete die von der CoA kommen verwerfen, da diese keinem Eintrag in der Firewall entsprechen.

22Project Overview2/22/2007

Forschung in ENABLE• Forschungsschwerpunkt von WP2 in ENABLE ist es, die Mobile IPv6

Signalisierung in Gegenwart von Firewalls zu ermöglichen.• Dynamische Konfiguration von Firewalls um Ende-zu-Ende

Kommunikationsszenarien das Durchschreiten dieser Firewalls zu ermöglichen.

• Es gibt mehrere mögliche „Middlebox traversal“ Lösungen:Application Layer Gateways (ALGs)Middlebox Communication - MIDCOMNSIS und NAT/FW NSLPPolicy Based Networks (PBN)VPN Ansätze

• Diese Ansätze werden momentan innerhalb von ENABLE analysiert und eine Lösung für „Mobile IPv6 Firewall Traversal“ entwickelt.

23Project Overview2/22/2007

Zusammenfassung

• Firewalls können – abhängig von ihrer Platzierung – den Einsatz von Mobile IPv6 unmöglich machen.

• Mögliche Firewall Platzierungen:Firewall beschützt MN’s NetzwerkFirewall beschützt HA’s NetzwerkFirewall beschützt CN’s Netzwerk

• Probleme resultieren großenteils daher das,viele Firewalls IPsec Pakete verwerfen da sie aufgrund der Verschlüsselung nicht feststellen können, ob diese angefordert oder berechtigt sind.Stateful Packet Filter (SPF) das Netzwerk vor nicht angeforderten Datenpaketen beschützen und daher Pakete die keinem Eintrag in der Zustandstabelle entsprechen, verwerfen.